2021.03.01
こんにちは。SB C&Sの鵜重です。クラウドセキュリティブログ3回目も引き続き「iboss」に焦点を当ててCASB連携を設定方法とともに紹介したいと思います。
ibossにおける2つのCASB
ibossには2つのCASB機能が存在します。1つはiboss単体で実現可能なCASBで主に可視化機能がメイン(一部アプリケーションの検知/遮断も)となる機能です。
もう一方がMicrosoft社のCASB製品である"MCAS"と連携することで、UnsanctionedなWebアプリケーションへの通信をブロックさせるという機能です。どちらもWebプロキシとして動作するibossを通過した通信を自動的に分析することが可能な便利な機能です。クライアントやWebアプリケーション側への追加設定やインストールと言った作業も必要ありません。
※そもそもCASBってなんだったっけ?という場合には以下の記事を参照してください。
クラウドセキュリティ CASBとは?
https://licensecounter.jp/engineer-voice/blog/articles/20200324_casb.html
クラウドセキュリティ CASBとは?
https://licensecounter.jp/engineer-voice/blog/articles/20200324_casb.html
①iboss単体のCASB
まずiboss単体のCASB機能ですが、iboss社独自のデータベースでWebアプリケーションを自動的に検知し一覧化することが可能です。どのユーザーがどのWebアプリケーションを利用しているか、など一段掘り下げた形での可視化にも対応しています。
また、Webアプリケーションに対するアクセス制限を設定することも可能で、現在のところAzure/M365/Gsuiteのテナント制限、FacebookやTwitterへのアクセスタイプに応じた制限(閲覧は許可/投稿はブロックなど)に加えて特定のYoutubeページの閲覧制限といった時代に即した機能も利用することができます。
②MCAS連携のCASB
上述の通りiboss単体でのCASBでもWebアプリケーション制御に対応していますが、もっと幅広いWebアプリケーションを制御したい場合にはMicrosoft社のCASB製品であるMCASとの連携が有効になってきます。
ibossで作成された通信ログをMCASへ渡し詳細な分析を行い、さらにMCAS側で事前にタグ付けされたunsanctionedアプリケーションリストをibossと共有することでMCASならではの強力な可視化機能と、詳細なWebアプリケーション制御機能を併用することができます。
③MCAS連携設定
APIを介して連携するため必要な設定は非常にシンプルです。MCAS側でAPI連携に必要なトークンを発行しその値をiboss側に適用させるだけなので誰でもストレスなくお手軽に設定を行うことができます。
(MCAS側でトークン発行)
(iboss側で必要な設定箇所)
以上で設定完了です。この状態からibossの管理画面を開くとMCASで分析した詳細な可視化状態を確認することが可能になっています。
また、MCAS側で特定のWebアプリケーションをUnsanctionedに設定することで、ibossを経由した対象通信をブロックし警告画面を表示させることができます。
(UnsanctionedなWebアプリケーションへアクセスした際のブロック画面)
終わりに
いかがでしたでしょうか?
MCASとの組み合わせでibossはトラフィックブロックのエンフォースポイントとして動作しますので、互いを補完的に強化できる理想的な連携の形かと思います。また、『まずは可視化だ!』という場合にはiboss単体のCASB機能も十分効果的ですので、要件段階に応じた選択肢を取れることも大きなメリットになるかと思います。
次回の記事では、気になるibossの導入方法やオンプレからの移行について紹介したいと思います。お楽しみに
他のおすすめ記事はこちら
著者紹介
SB C&S株式会社
ICT事業本部 技術本部 第3技術部 2課
鵜重 翔一
